Posté le avril 30, 2023 à 6:20
DES HACKERS EXPLOITENT UNE FAILLE DE HAUT DEGRÉ DE GRAVITÉ DANS LE LOGICIEL DE SAUVEGARDE ET DE RÉPLICATION DE VEEAM
Des hackers ont ciblé les serveurs de sauvegarde Veeam. Les hackers à l’origine de cet exploit sont connus pour travailler avec plusieurs groupes de ransomware de haut niveau. Les chercheurs ont détecté des activités malveillantes et des outils imitant les exploits FIN7 utilisés pour mener cette campagne depuis le 28 mars.
Des hackers exploitent des serveurs de sauvegarde Veeam vulnérables
Les exploits ont commencé moins d’une semaine après qu’une attaque ait été disponible, exploitant une vulnérabilité de haute sévérité dans le logiciel de sauvegarde et de réplication Veeam. L’exploit est répertorié sous le nom de CVE-2023-27532, et expose les informations d’identification cachées stockées dans la configuration VBR à des utilisateurs non confirmés au sein de l’infrastructure de sauvegarde. L’exploit peut également être utilisé pour accéder aux hôtes de l’infrastructure de sauvegarde.
Le 7 mars, l’entreprise a publié un chemin d’accès à cette faille et a partagé des instructions de contournement. Le 23 mars, Horizon3 a effectué un test de pénétration dans l’entreprise, qui a montré comment un point de terminaison API non sécurisé pouvait être exploité pour extraire les informations d’identification d’un attaquant. Le hacker peut également exploiter la faille pour exécuter du code à distance en utilisant les privilèges les plus élevés.
Huntress Labs a déclaré qu’environ 7 500 hôtes VBR ont été exposés à l’internet. Ces hôtes semblent être vulnérables. Un rapport de WithSecure a partagé une déclaration disant qu’ils ont détecté des serveurs ciblés utilisant le logiciel Veeam Backup and Replication accédés sur le web public. Cette activité a été détectée à la fin du mois de mars.
Les stratégies utilisées par les acteurs de la menace semblent similaires à l’activité malveillante liée à FIN7. Selon le moment de cette campagne, le port TCP 9401 ouvert a permis de compromettre les serveurs, tandis que les hôtes exploitaient une version malveillante de VBR. Selon les chercheurs, le hacker a exploité la faille CVE-2023-27532 pour accéder au code malveillant et l’exploiter
WithSecure a mené un exercice pour détecter cette menace en utilisant des données de télémétrie à l’aide de son Endpoint Detection and Response (EDR). Les chercheurs ont indiqué que certains serveurs Veeam créaient de fausses alertes.
Liens avec l’activité malveillante de FIN7
Un examen approfondi de cet exploit montre que le hacker a commencé à exécuter le script PowerShell PowerTrash précédemment lié à FIN7. L’exploit a également exécuté une porte dérobée DiceLoader ou Lizar sur la machine infectée.
DiceLoader, également connu sous le nom de porte dérobée Lizar, est identifié sous le nom de Tirion. Cette porte dérobée est associée à l’activité malveillante de FIN7. Les incidents récents liés à ce groupe de hackers ont utilisé une porte dérobée différente connue sous le nom de PowerPlant par les chercheurs de Mandiant.
Neeraj Singh, l’un des chercheurs principaux de WithSecure, a déclaré que DiceLoader et PowerTrash ne sont pas les seuls liens avec l’activité malveillante de FIN7. La boîte à outils FIN7 est par ailleurs accompagnée d’un script PowerShell qui résout les adresses IP en noms d’hôtes, et un script personnalisé est aussi utilisé pour la reconnaissance au cours de la phase de mouvement latéral de l’attaque.
M. Singh en outre déclaré avoir détecté des chevauchements techniques avec les rapports précédents sur les activités malveillantes liées à FIN7. Ces recoupements existent dans les modèles d’exécution de la ligne de commande et les conventions de dénomination des fichiers.
Après avoir obtenu l’accès initial, les acteurs de la menace déploieront leur logiciel malveillant, plusieurs commandes et des scripts personnalisés pour recueillir des données sur le système et le réseau. Les informations d’identification obtenues à partir de la base de données de sauvegarde de Veeam sont également prises en compte.
La persistance de DiceLoader a été obtenue à l’aide d’un script PowerShell personnalisé connu sous le nom de PowerHold. Les chercheurs de WithSecure ont de plus déclaré que le hacker a utilisé le mouvement latéral avec les informations d’identification volées, en volant l’accès avec des invocations WMI et des commandes » net share « .
Selon le rapport de WithSecure, les hackers ont réussi à effectuer un mouvement latéral. Ils ont également utilisé des informations d’identification volées tout en s’appuyant sur le protocole de communication SMB pour envoyer des scripts PowerShell dans les partages administratifs de l’utilisateur ciblé.
L’objectif de cet exploit malveillant est encore inconnu, car l’activité de piratage a été interrompue avant que la charge utile finale ne puisse être implantée ou exécutée. Les chercheurs ont aussi indiqué que l’activité de piratage aurait pu se terminer après l’utilisation d’un ransomware si la chaîne d’attaque avait été menée à son terme. De plus, le vol de données peut avoir de graves conséquences.
WithSecure a exhorté les organisations utilisant le logiciel Veeam Backup and Replication à utiliser les informations et les données générées pour rechercher tout signe de compromission du réseau.
La méthode exacte utilisée pour invoquer la commande shell initiale est inconnue, de même que les preuves de l’exploitation de cette faille. Les entreprises cherchent également à patcher la faille car d’autres hackers pourraient tenter de profiter de l’exploit.
Des chercheurs d’IBM ont récemment publié un rapport sur un partenariat entre FIN7 et d’anciens membres du groupe Conti. Les hackers ont distribué une souche de logiciel malveillant connue sous le nom de Domino qui offre un accès à l’hôte affecté. Elle permet également l’installation d’une balise Cobalt Stroke afin d’accroître la persistance.
